ポストクッキー時代に向けた
備えを今から
SOLUTIONS 1
Priv Tech
クッキーの同意管理プラットフォーム(CMP)『Trust 360』
デジタルマーケティングの推進とプライバシーの尊重を両立させることが、企業にとって重要な課題となっている。そこでPriv Techではクッキー利用の同意の取得から、その管理、他システムとの連携までをワンストップで実現する同意管理プラットフォーム「Trust 360」を提供している。
プライバシー保護が
新たなビジネスを生む
これまで個人情報を含むさまざまなデータの活用がビジネスの成長には不可欠だった。ところがそれが限界を迎えようとしている、こう指摘するのはPriv Techの代表取締役を務める中道大輔氏だ。中道氏は「これまではデータを活用して新しいビジネスを生み出したり、より大きな成長を目指したりすることが求められてきましたが、データのプライバシーに対する意識がグローバルで大きく変化しており、企業には個人情報を保護することが強く求められるようになっています。これは倫理的な観点はもちろん、日本の個人情報保護法やEUのGDPRなど、グローバルで法規制が厳しくなっている状況です」と指摘する。
個人情報保護に関する規制について、大きく二つの観点で取り組みが求められている。まず日本でも規制が強化される令和4年4月1日施行の改正個人情報保護法や、EUのGDPR、米カリフォルニア州のCCPA(カリフォルニア州消費者プライバシー法)などの法規制への対応だ。そしてもう一つがプラットフォーマーによるサードパーティークッキー規制への対応である。
こうしたグローバルでのデータプライバシーに対する保護や規制に対して、「Privacy Tech」(プライバシーテック)と呼ばれる新たなビジネスが生まれ、市場を拡大しているという。
プライバシーテックとは「ユーザーのプライバシーを技術により保護し、法令や法律を遵守しながら企業のデジタルマーケティング活動を推進するテクノロジー」のことだ。
プライバシーテックは「プライバシー保護技術」と「法令・法律」への対応、そして「データ活用」の三つの要件で構成される。そしてPriv Techではプライバシーテックを構成する三つの領域で、それぞれサービスおよびソリューションを提供している。
クッキーの同意管理
プラットフォーム
まず「プライバシー保護技術」として同意管理プラットフォーム「Trust 360」を提供している。これはCMP(コンセント・マネジメント・プラットフォーム)と呼ばれるソリューションで、プライバシーの保護・尊重とデジタルマーケティングの効果を両立させるツールとなる。
プラットフォーマーがクッキーの利用を規制していることは広く知られているが、さらにEUのGDPR上ではクッキーが個人データとみなされるため、クッキーの利用について本人の同意を得る必要があり、クッキー単位で本人の同意情報を管理する必要があるのだ。
そのクッキー同意管理においては「ゼロクッキーロードに対応しなければならない」「同意取得状況をすぐに把握したい」「同意管理と利用中のシステムを連携させたい」「日本と海外の両方の法令に対応したい」などの要望があるという。
Trust 360では同意情報に基づき各種タグの発火、クッキーの発行を制御するゼロクッキーロードに対応しているほか、ダッシュボード上で同意の取得率などのデータを、期間・デバイスなどの複数のメッシュで確認することができるなど操作、活用のしやすさも優れている。
またGDPRで求められるツールの利用目的ごとの同意取得に対応しているほか、CCPAで求められるユーザーに対するオプトアウトの機会の提供に対応することも可能となっている。さらに各種マーケティングツールとの連携のしやすさも魅力となっている。
Priv Techではクッキー規制への対応という守りのソリューションだけではなく、日本、海外の法令を遵守しつつ、効果的なデジタルマーケティングの展開を支援するコンサルティングサービスも提供している。
特に2022年以降、AppleのSafariやMozillaのFirefox、そしてグーグルのChromeでもサードパーティクッキーが廃止されることが発表されており、ポストクッキー時代への対策・準備が急がれている。中道氏は「当社にはクッキーを使わない動画広告ソリューションやターゲティング手法など、さまざまなテクノロジーやソリューションがあり、ポストクッキー時代のマーケティング活動も支援できます」とアピールする。
報告の完全義務化に対応する
SOLUTIONS 2
エムオーテックス
操作ログ取得『LANSCOPE クラウド版』
コロナ禍以降、テレワークを推進する企業において社員が自宅で使用するノートPCやスマートフォンといったデバイスの管理が課題となり、エムオーテックスの「LANSCOPE」の需要が高まっている。そして2022年4月1日より施行される改正個人情報保護法への対応においても、同社の「LANSCOPE クラウド版」の機能が注目されている。
報告義務に対応するPC操作の
ログ管理を提案
個人のプライバシー情報を保護することは個人であっても法人であっても常識として当然の責務である。しかし意外にも法令では、これまで厳しく要請はされていなかったようだ。エムオーテックス 営業本部 営業企画部 部長 山岸恒之氏は「例えば個人情報が漏えいした場合、これまでは本人への通知は『努力義務』でした。それが令和4年4月1日以降は個人情報保護委員会と本人への報告、通知が完全義務化となります。また個人情報保護委員会からの命令への違反や、個人情報データベース等の不正提供等では、法人に最大1億円の罰金が課せられる恐れもあります」と指摘する。
罰金の金額の大きさもさることながら、事業を展開する企業では何かしらの個人情報を扱っているはずだ。そのため厳格化、厳罰化される改正個人情報保護法に対して、有効な対策を講じる必要がある。
これまでも個人情報保護法は施行されていたし、個人情報の保護や情報漏えいへの対策は全ての企業にとって重要な経営課題だったはずだ。しかし具体的な対策を講じてこなかった企業が少なくないことはまぎれもない事実である。
そこでエムオーテックスでは改正個人情報保護法を契機に、PC操作のログ管理の実施を提案している。同社の山岸氏は操作ログ管理の有効性について次のように説明する。
「万が一情報漏えいが生じた場合、証跡管理により原因特定が可能となり、義務化される報告に用いる記録を残すことができます。またログを取得していることを社内に周知することにより、情報漏えいをさせない抑止効果も期待できます。さらに情報の出口となるPC操作を定期的に確認することで、社内のリスクを把握でき、事件や事故を未然に防げる効果も期待できます」
ログ管理はファイルサーバー
だけでは不十分
山岸氏によれば、ある程度の規模の企業では操作ログの取得を実施しているという。しかしその対象の多くはファイルサーバーだという。山岸氏は「ファイルサーバーのログを記録している企業は多いのですが、データはファイルサーバーからユーザーのPCに転送され、そこから外部へ流出する経路が多いものです。ファイルサーバーだけではなくエンドポイントのログも取得しなければ、情報漏えいの原因特定は不可能です」と指摘する。
またファイルサーバーの操作ログによりデータを利用した人や持ち出した人は特定できても、どのPCから誰が外部に流出させたのかを特定することはできないため、憶測で犯人を見立ててしまう危険性もある。
そこでPC操作ログの取得、管理ができるソリューションが有効となるが、改正個人情報保護法は今年4月1日より施行されるため、時間の猶予はない。企業としては速やかに対応しなければならない。そこでエムオーテックスでは、スピーディーに導入できてすぐに対策が講じられるPC操作ログ製品「LANSCOPE」のクラウド版、「LANSCOPE cloud」をお薦めしている。
LANSCOPE クラウド版はクラウドから利用できるため専用のサーバーやソフトウェアを購入したり、構築をすることなく、時間をかけずにすぐに利用が開始できるメリットがある。
また、情報漏えいを防ぐためには、外部脅威への対策も重要だ。LANSCOPE クラウド版であれば、更新プログラムが適用されているか、脆弱性のあるアプリケーションがインストールされていないかを確認することで、マルウェア感染などのリスクを低減することができる。さらに、同じくエムオーテックスが提供するAIアンチウイルスとの連携機能もあり、内部・外部の両方のリスクに対策することが可能だ。
LANSCOPE クラウド版は万が一の情報漏えい発生時の原因特定から被害状況の把握、報告までをスピーディーに行え、リスクのある操作を抑止したり、事件や事故を未然に防げる効果も期待できるなど、改正個人情報保護法対策として分かりやすいサービスとなっている。
ユーザーの操作ログと
セキュアな企業向けリモートデスクトップ
「Soliton SecureDesktop」
SOLUTIONS 3
ソリトンシステムズ
ユーザー操作ログ管理『InfoTrace 360』
セキュアな企業向けリモートデスクトップ「Soliton SecureDesktop」
個人情報に限らずビジネスに用いる情報は決して漏えいさせたくないものではあるが、万全の対策というものは存在しないのが事実だ。そこで万が一を想定した対策も企業にとっては重要だ。改正個人情報保護法では情報漏えい時の報告が義務化され、それを怠ると厳しい罰金が課される恐れもある。そこでユーザーの操作ログとセキュリティログを記録しておくソリューションが有効となる。
情報を漏えいさせない
ための対策
ソリトンシステムズではマイナンバーなどの個人情報を扱う税理士や社労士といった士業から、個人情報保護対策ソリューションの引き合いは以前からあった。しかし一般の企業については、それほど反応は大きくはなかったという。ところが改正個人情報保護法の施行が令和4年4月1日に迫り、対応についての問い合わせが徐々に増えてきているという。
ソリトンシステムズ ITセキュリティ事業部 プロダクト&サービス統括本部 プロダクトマネージャー 伊佐美咲氏は「改正個人情報保護法への対応も大切ですが、そもそもテレワークの普及によって情報漏えい事故が発生しやすくなっており、情報漏えい対策は業種は企業の規模を問わず必須の取り組みです」と指摘する。
ソリトンシステムズでは特にリスクが高まるテレワーク環境での情報漏えい対策として「Soliton SecureDesktop」や「Soliton SecureBrowser」の利用を薦めている。Soliton SecureDesktopはオフィスのPCにセキュアにリモートアクセスする仕組みにより、ユーザーの手元の端末にデータを残さず、VDIと比較して低コストで導入できるなどのメリットがある。
またSoliton SecureBrowserはWebアクセスに特化したリモートアクセスソリューションで、VPN機能内蔵のセキュアブラウザー(Soliton SecureBrowser)により、社内へのリモートアクセス環境やクラウドアクセスのセキュリティ強化、端末からの情報漏えいの防止を同時に実現する。またWebアプリの閲覧ファイルやデータのキャッシュは自動消去され、端末にデータが残らない。
報告義務に対応する
ための備え
ソリトンシステムズでは個人情報の漏えいを防ぐセキュリティソリューションに加えて、万が一の個人情報漏えい発生時に法令に従って対応できるように備えるソリューションも提供している。
ソリトンシステムズ ITセキュリティ事業部 プロダクト&サービス統括本部 小川あさぎ氏は「改正個人情報保護法では個人情報が漏えいしてしまった場合、個人情報保護委員会と本人に報告することが義務化されており、義務を怠ると最高1億円の罰金が課される恐れがあります」と説明する。
改正個人情報保護法のガイドラインでは個人情報漏えい時の報告内容として、漏えい等が発生、または発生した恐れがある個人データの項目、漏えい等が発生、または発生した恐れがある個人データの人数、原因、二次被害またはその恐れの有無とその内容、本人への対応の実施状況、公表の実施状況、再発防止のための措置などが挙げられている。
そこでソリトンシステムズでは報告義務に対応できるよう「InfoTrace 360」の導入、利用を薦めている。
InfoTrace 360はテレワークなど多様化する業務環境において社員のPCの操作を記録し、可視化するクラウドサービスだ。
PCのログイン時間や利用状況、Web会議やビジネスチャット、Officeアプリ、オンラインストレージなどの利用状況、無線LANへの接続状況などを可視化して記録する。また印刷やリムーバブルディスクでのファイル持ち出し、Webブラウザーやコミュニケーションツールによるファイルの転送も把握でき、個人情報の漏えい時の報告はもちろん、原因究明や対策にも活用できる。
まず取り掛かる対応として、InfoTrace 360により状況把握できる環境を整えることが有効だ。